LockBitSupp, лицо (лица), стоящее за персоной, представляющей службу вымогателей LockBit на форумах по киберпреступности, таких как Exploit и XSS, "сотрудничало с правоохранительными органами", заявили власти.
Разработка происходит после ликвидации программы-вымогателя prolific ransomware as-a-service (RaaS) в рамках скоординированной международной операции под кодовым названием Cronos. Более 14 000 мошеннических аккаунтов в сторонних сервисах, таких как Mega, Protonmail и Tutanota, используемых преступниками, были закрыты.
"Мы знаем, кто он. Мы знаем, где он живет. Мы знаем, сколько он стоит. LockbitSupp взаимодействовал с правоохранительными органами ", согласно сообщению, размещенному на захваченном (и офлайн) сайте утечки данных в темной Сети.
Этот шаг был истолкован постоянными наблюдателями LockBit как попытка вызвать подозрения и посеять семена недоверия среди аффилированных лиц, что в конечном итоге подорвало доверие к группе в экосистеме киберпреступности.
Согласно исследованию, опубликованному Analyst1 в августе 2023 года, есть доказательства, позволяющие предположить, что аккаунтами "LockBit" и "LockBitSupp" управляли по меньшей мере три разных человека, один из которых сам был лидером банды.
Однако, выступая перед группой по исследованию вредоносных программ VX-Underground, LockBit заявила, что "они не верили, что правоохранительным органам известна его / ее / их личность". Они также увеличили вознаграждение, предлагаемое любому, кто сообщит им свои настоящие имена, до 20 миллионов долларов. Стоит отметить, что вознаграждение было увеличено с 1 миллиона долларов США до 10 миллионов долларов США в конце прошлого месяца.
У LockBit, также называемого Gold Mystic и Water Selkie, было несколько итераций с момента его создания в сентябре 2019 года, а именно LockBit Red, LockBit Black и LockBit Green, при этом синдикат киберпреступности также тайно разрабатывал новую версию под названием LockBit-NG-Dev до демонтажа его инфраструктуры.
"LockBit-NG-Dev теперь написан на .NET и скомпилирован с использованием CoreRT", - сказали в Trend Micro. "При развертывании вместе с .СЕТЕВАЯ среда, это позволяет коду быть более независимым от платформы. В нем были удалены возможности самораспространения и возможность печатать записки с требованием выкупа через принтеры пользователя."
Одним из примечательных дополнений является включение срока действия, который продолжает свое действие только в том случае, если текущая дата находится в определенном диапазоне дат, что наводит на мысль о попытках разработчиков предотвратить повторное использование вредоносного ПО, а также противостоять автоматическому анализу.
Говорят, что работа над вариантом следующего поколения была вызвана рядом логистических, технических и репутационных проблем, в первую очередь вызванных утечкой сборщика программ-вымогателей недовольным разработчиком в сентябре 2022 года, а также опасениями, что один из его администраторов мог быть заменен правительственными агентами.
Также не помогло то, что аккаунты, управляемые LockBit, были заблокированы в Exploit и XSS ближе к концу января 2024 года за неуплату брокеру первоначального доступа, который предоставил им доступ.
"Актер произвел впечатление человека, который "слишком велик, чтобы потерпеть неудачу", и даже проявил презрение к арбитру, который должен был принять решение по исходу иска", - заявили в Trend Micro. "Это выступление продемонстрировало, что LockBitSupp, вероятно, использует свою репутацию, чтобы иметь больший вес при согласовании оплаты доступа или доли выплат выкупа с аффилированными лицами".
PRODAFT в своем собственном анализе операции LockBit заявила, что выявила более 28 аффилированных лиц, некоторые из которых имеют связи с другими российскими группами электронной преступности, такими как Evil Corp, FIN7 и Wizard Spider (он же TrickBot).
Об этих связях также свидетельствует тот факт, что банда действовала как "матрешка" с тремя различными слоями, создавая внешнее представление об устоявшейся схеме RaaS, компрометирующей десятки аффилированных лиц, в то же время тайно заимствуя высококвалифицированных тестировщиков перьев у других групп программ-вымогателей путем создания личных альянсов.
Дымовая завеса материализовалась в виде так называемой модели группы-призрака, по словам исследователей RedSense Елисея Богуславского и Марли Смит, при этом LockBitSupp служил "простым отвлекающим фактором для реальных операций".
"Группа-призрак - это группа, которая обладает очень высокими возможностями, но передает их другому бренду, позволяя другой группе передавать им операции на аутсорсинг", - сказали они. "Самая четкая версия этого - Zeon, который передал свои навыки на аутсорсинг LockBit и Akira".
По оценкам, за несколько лет своей деятельности группа получила более 120 миллионов долларов незаконной прибыли, став самым активным участником программ-вымогателей в истории.
"Учитывая, что количество подтвержденных атак LockBit за четыре года их работы превысило 2000, это говорит о том, что их влияние во всем мире оценивается в несколько миллиардов долларов", - заявило Национальное агентство по борьбе с преступностью Великобритании (NCA).
Излишне говорить, что операция Cronos, вероятно, нанесла непоправимый ущерб способности преступной группировки продолжать деятельность с программами-вымогателями, по крайней мере, под ее нынешним брендом.
"Восстановление инфраструктуры очень маловероятно; руководство LockBit технически неспособно", - сказали в RedSense. "Люди, которым они доверили разработку своей инфраструктуры, давно покинули LockBit, о чем свидетельствует примитивизм их инфраструктуры".
"[Брокеры первоначального доступа], которые были основным источником предприятия LockBit, не будут доверять их доступу к группе после удаления, поскольку они хотят, чтобы их доступ был обращен в наличные".
Разработка происходит после ликвидации программы-вымогателя prolific ransomware as-a-service (RaaS) в рамках скоординированной международной операции под кодовым названием Cronos. Более 14 000 мошеннических аккаунтов в сторонних сервисах, таких как Mega, Protonmail и Tutanota, используемых преступниками, были закрыты.
"Мы знаем, кто он. Мы знаем, где он живет. Мы знаем, сколько он стоит. LockbitSupp взаимодействовал с правоохранительными органами ", согласно сообщению, размещенному на захваченном (и офлайн) сайте утечки данных в темной Сети.
Этот шаг был истолкован постоянными наблюдателями LockBit как попытка вызвать подозрения и посеять семена недоверия среди аффилированных лиц, что в конечном итоге подорвало доверие к группе в экосистеме киберпреступности.
Согласно исследованию, опубликованному Analyst1 в августе 2023 года, есть доказательства, позволяющие предположить, что аккаунтами "LockBit" и "LockBitSupp" управляли по меньшей мере три разных человека, один из которых сам был лидером банды.
Однако, выступая перед группой по исследованию вредоносных программ VX-Underground, LockBit заявила, что "они не верили, что правоохранительным органам известна его / ее / их личность". Они также увеличили вознаграждение, предлагаемое любому, кто сообщит им свои настоящие имена, до 20 миллионов долларов. Стоит отметить, что вознаграждение было увеличено с 1 миллиона долларов США до 10 миллионов долларов США в конце прошлого месяца.
У LockBit, также называемого Gold Mystic и Water Selkie, было несколько итераций с момента его создания в сентябре 2019 года, а именно LockBit Red, LockBit Black и LockBit Green, при этом синдикат киберпреступности также тайно разрабатывал новую версию под названием LockBit-NG-Dev до демонтажа его инфраструктуры.
"LockBit-NG-Dev теперь написан на .NET и скомпилирован с использованием CoreRT", - сказали в Trend Micro. "При развертывании вместе с .СЕТЕВАЯ среда, это позволяет коду быть более независимым от платформы. В нем были удалены возможности самораспространения и возможность печатать записки с требованием выкупа через принтеры пользователя."
Одним из примечательных дополнений является включение срока действия, который продолжает свое действие только в том случае, если текущая дата находится в определенном диапазоне дат, что наводит на мысль о попытках разработчиков предотвратить повторное использование вредоносного ПО, а также противостоять автоматическому анализу.
Говорят, что работа над вариантом следующего поколения была вызвана рядом логистических, технических и репутационных проблем, в первую очередь вызванных утечкой сборщика программ-вымогателей недовольным разработчиком в сентябре 2022 года, а также опасениями, что один из его администраторов мог быть заменен правительственными агентами.
Также не помогло то, что аккаунты, управляемые LockBit, были заблокированы в Exploit и XSS ближе к концу января 2024 года за неуплату брокеру первоначального доступа, который предоставил им доступ.
"Актер произвел впечатление человека, который "слишком велик, чтобы потерпеть неудачу", и даже проявил презрение к арбитру, который должен был принять решение по исходу иска", - заявили в Trend Micro. "Это выступление продемонстрировало, что LockBitSupp, вероятно, использует свою репутацию, чтобы иметь больший вес при согласовании оплаты доступа или доли выплат выкупа с аффилированными лицами".
PRODAFT в своем собственном анализе операции LockBit заявила, что выявила более 28 аффилированных лиц, некоторые из которых имеют связи с другими российскими группами электронной преступности, такими как Evil Corp, FIN7 и Wizard Spider (он же TrickBot).
Об этих связях также свидетельствует тот факт, что банда действовала как "матрешка" с тремя различными слоями, создавая внешнее представление об устоявшейся схеме RaaS, компрометирующей десятки аффилированных лиц, в то же время тайно заимствуя высококвалифицированных тестировщиков перьев у других групп программ-вымогателей путем создания личных альянсов.
Дымовая завеса материализовалась в виде так называемой модели группы-призрака, по словам исследователей RedSense Елисея Богуславского и Марли Смит, при этом LockBitSupp служил "простым отвлекающим фактором для реальных операций".
"Группа-призрак - это группа, которая обладает очень высокими возможностями, но передает их другому бренду, позволяя другой группе передавать им операции на аутсорсинг", - сказали они. "Самая четкая версия этого - Zeon, который передал свои навыки на аутсорсинг LockBit и Akira".
По оценкам, за несколько лет своей деятельности группа получила более 120 миллионов долларов незаконной прибыли, став самым активным участником программ-вымогателей в истории.
"Учитывая, что количество подтвержденных атак LockBit за четыре года их работы превысило 2000, это говорит о том, что их влияние во всем мире оценивается в несколько миллиардов долларов", - заявило Национальное агентство по борьбе с преступностью Великобритании (NCA).
Излишне говорить, что операция Cronos, вероятно, нанесла непоправимый ущерб способности преступной группировки продолжать деятельность с программами-вымогателями, по крайней мере, под ее нынешним брендом.
"Восстановление инфраструктуры очень маловероятно; руководство LockBit технически неспособно", - сказали в RedSense. "Люди, которым они доверили разработку своей инфраструктуры, давно покинули LockBit, о чем свидетельствует примитивизм их инфраструктуры".
"[Брокеры первоначального доступа], которые были основным источником предприятия LockBit, не будут доверять их доступу к группе после удаления, поскольку они хотят, чтобы их доступ был обращен в наличные".
